Bezpieczeństwo

Atak z użyciem Bad Rabbit - jak to działa?

opublikowano przez Wojciech Kulik w dniu 2017-10-26

Bad Rabbit infekuje komputery na Starym Kontynencie (w tym w Polsce). Nie wiadomo jeszcze, kto za nim stoi, ale wiadomo jak działa.

Bad Rabbit to kolejne po WannaCry i NotPetya ransomware, którym infekowane są komputery – głównie w sieciach korporacyjnych i przede wszystkim w Europie. W ciągu ostatniej doby specjaliści od cyberbezpieczeństwa zdołali dowiedzieć się więcej na temat tego zagrożenia.

Bad Rabbit – tak rozpoczyna się atak

Jak tłumaczy ekspert ds. cybebezpieczeństwa w Trend Micro, Marek Krauze, „jedną z początkowych metod infekcji były tak zwane wodopoje (waterholes) – strony przejęte przez przestępców, którzy wgrali tam instalator popularnego oprogramowania, zainfekowanego szkodliwym kodem”. Tym popularnym oprogramowaniem był mianowicie Adobe Flash. 

W tym miejscu należy zwrócić uwagę, że każdy nieuważny użytkownik może paść ofiarą takiego ataku. Jedyną radą, jakiej można udzielić przy tej okazji, to by pod żadnym pozorem nie uruchamiać podejrzanych załączników i programów, które chcą się „same” zainstalować.

Infekcja ransomware (ale nie tylko)

Wracając do tematu, taka infekcja to tylko początek. – „Bad Rabbit próbuje rozprzestrzeniać się dalej z wykorzystaniem niektórych elementów znanych z poprzedniego incydentu”, kontynuuje Krauze. Chodzi tutaj przede wszystkim o automatyczną instalację narzędzia, które próbuje wykraść dane logowania i wykorzystać je w celu uzyskania dostępu do urządzeń w sieci lokalnej (przez SMB).

Bad Rabbit tekst
Nikomu nie życzymy takiego powitania po uruchomieniu komputera.

Jak zauważa Chester Wisniewski, specjalista z Sophos – „to, co sprawia, że to złośliwe oprogramowanie jest bardziej niebezpieczne niż inne ransomware, to jego zdolność do rozprzestrzeniania się w organizacji jako wirus, a nie tylko przez załączniki wiadomości e-mail lub wtyczki sieciowe”.

Jak walczyć z tym zagrożeniem?

Przedstawiciele jednej i drugiej firmy zwracają również uwagę na to, że oprócz ostrożności przed tego typu zagrożeniami skutecznie chronią też aktualne programy antywirusowe i firewalle. Nowoczesne rozwiązania wykorzystujące uczenie maszynowe są w stanie praktycznie „z automatu” zablokować wszystkie mutacje Bad Rabbit, jakie pojawiły się lub pojawią w przyszłości.

Jeśli jednak infekcji nie uda się uniknąć, to rozpoczyna się szyfrowanie. Bad Rabbit wykorzystuje w tym celu AES-128-CBC, a następnie kasuje logi systemowe, aby w miarę możliwości utrudnić odpowiedź na to zagrożenie. Wreszcie modyfikowany jest MBR, a komputer – restartowany.

Bad Rabbit akcja
Tak przebiega infekcja Bad Rabbit (kliknij, aby powiększyć) / Trend Micro

Eksperci apelują, by nie płacić cyberprzestępcom żądanego przez nich okupu (w wysokości 0,05 bitcoina). Raz, że stanowi to motywację do kolejnych tego typu akcji. Dwa – wcale nie ma pewności, że zaszyfrowane pliki uda się odzyskać. W przypadku ransomware najlepiej jest się chronić przed zagrożeniem, a nie na nie reagować, bo wtedy najczęściej jest już za późno.

Źródło: Trend Micro, Sophos, inf. własna

marketplace

Komentarze

4
Zaloguj się, żeby skomentować
avatar
Dodaj
Komentowanie dostępne jest tylko dla zarejestrowanych użytkowników serwisu.
  • avatar
    Dawniej mafia porywała dzieci wysoko postawionych polityków, bankierów, właścicieli hoteli czy linii lotniczych.
    Jako dowód wysyłali odcięte palce czy ucho a jako okup trzeba było porzucić torbe z gotówką gdzies tam w jakiejś uliczce.

    Dziś szyfruje się pliki i żąda okupu w wirtualnej walucie :)

    W sumie to może i lepiej - zawsze był problem z pozbywaniem się ciała, albo przetrzymywaniem porwanego.
  • avatar
    "Jak zauważa Chester Wisniewski, specjalista z Sophos – „to, co sprawia, że..." jak dla mnie Bad Rabbit działa na tym samym schemacie co WannaCry i NotPetya. Tam się chyba zaczęło od aktualizacji M.E.Doc i e-maili a tu pseudo aktualizacja Adobe i e-maile. Bad Rabbit pewnie tak samo jak poprzednie wykorzystuje narzędzia systemowe typu PSEXEC i WMIC i jakieś znane dziury. Więc chyba nic nowego.
  • avatar
    ransomware czyli historia ludzi od zera do milionera.
  • avatar
    Nie dość, że hakier to jeszcze fan GoT'a